三個軟件構成了您家用 PC 上良好安全設置的支柱:防病毒軟件、防火牆和密碼管理器。
其中,儘管防火牆很重要,但它通常是最不被人們記住的。 防火牆從公眾視野中淡出是因為 Windows、macOS 和幾乎所有其他主要操作系統都具有內置防火牆,因此無需搜索第三方選項。 然而,好奇的人可能想知道它們是如何工作的,所以讓我們來看看防火牆是如何工作的。
目錄
什麼是防火牆?
防火牆是計算中的網絡安全系統,用於監控和過濾傳入和傳出的網絡流量。 防火牆還負責阻止或允許某些數據包進入您的網絡。 就像一堵牆,防火牆是您的網絡和外部資源之間的屏障。
就像防病毒軟件一樣,防火牆可以提高系統的安全性。 但是,防火牆與防病毒軟件有很大不同。 防病毒軟件會掃描現有文件中的病毒,而防火牆會首先阻止病毒進入系統。
防火牆的起源
“防火牆”一詞始於為防止火災而建造的實際牆壁。 這些在今天處理危險材料的建築物中仍然很常見。 如果發生爆炸或火災,防火牆會阻止火焰離開危險區域併吞噬結構的其餘部分。
該術語在 1980 年代後期被採用,作為一種描述保護系統或網絡免受整個互聯網影響的任何軟件或硬件的方式。 像莫里斯蠕蟲這樣的惡意軟件,第一個計算機蠕蟲,說明了軟件如何利用互聯網連接並嚴重破壞隨機目標系統。
因此,精通安全的個人和組織開始尋找保護自己免受此類惡意軟件侵害的方法。 它不像蠕蟲和木馬這樣的惡意軟件已經消失了。 事實上,全球 WannaCry 勒索蠕蟲攻擊是現代威脅參與者如何利用舊技術的完美示例。
防火牆如何工作?
正如我們之前建立的,防火牆會監控進入您計算機網絡的流量。 它們通過充當您的網絡和互聯網之間的牆來保護您的計算機。 防火牆檢查數據包的來源並過濾有害的廣告授權網絡流量。 他們還執行深度數據包檢查,以檢測可能試圖繞過防火牆的惡意流量。
防火牆有哪些類型?
有五種類型的防火牆,具體取決於操作模式及其功能。 它們包括數據包過濾器、電路網關、應用級網關、狀態檢查防火牆和下一代防火牆。
數據包過濾器
早期的防火牆只讀取包頭數據,如源地址和目標地址。 然後可以根據獲得的信息採取行動。 這是高效且快速的,但在某些方面可能很脆弱。
例如,欺騙攻擊對數據包過濾器非常有效。 高級版本的包過濾防火牆將有關包的數據保存在內存中,並且可以根據網絡事件改變它們的行為。 這些分別稱為“有狀態”和“動態”防火牆。
電路網關
電路網關不僅僅處理數據包頭數據。 他們還嘗試確保中繼數據包的連接有效。 為此,電路網關會關注數據包數據並尋找變化,例如異常的源 IP 地址或目標端口。 如果確定連接無效,則可以將其關閉。 這些防火牆還會自動拒絕防火牆內用戶未特別請求的信息。
應用級網關 (ALG)
這些防火牆共享電路網關的屬性。 儘管如此,他們仍深入研究通過防火牆發送的信息,並了解它與特定應用程序、服務和網站的關係。 例如,應用級網關可以查看承載 Web 流量的數據包並確定流量來自哪些站點。 如果管理員願意,防火牆隨後可以阻止來自某些站點的數據。
狀態檢查防火牆
狀態檢測防火牆監控活動網絡連接的狀態和特定網絡上的流量。 它還分析傳入的數據包、它們的來源、IP 地址和端口,以發現網絡威脅和風險
下一代防火牆 (NGFW)
最新類型的防火牆,下一代防火牆,結合了以前防火牆的所有功能,創建了一個包羅萬象的防火牆,可以監控所有網絡流量並防止內部和外部攻擊。
軟件防火牆與硬件防火牆與基於雲的防火牆
防火牆也可以根據其結構進行分類。 例如,軟件防火牆的工作方式與基於雲的防火牆不同。
軟件防火牆
如果您的計算機上安裝了防火牆,則它是軟件防火牆,很可能是應用程序級防火牆。 它將能夠控制單個應用程序如何訪問互聯網,並在它們嘗試接受或發送信息時阻止特定或未知的應用程序。
您的個人防火牆也是軟件防火牆。 這意味著它的功能由安裝在您計算機上的代碼控制。 這樣做的好處是顯而易見的——您可以隨時輕鬆更改防火牆的設置,並且無需登錄任何單獨的設備即可訪問其界面。
但是,軟件防火牆可能容易受到攻擊,因為如果安裝它的系統受到威脅,它就可以被操縱。 例如,如果您的計算機以某種方式感染了惡意軟件,儘管您採取了防火牆和其他安全措施,則該惡意軟件可能被編程為繞過防火牆或更改其設置。 出於這個原因,軟件防火牆從來都不是完全安全的。
硬件防火牆
為解決此漏洞,大型組織通常除了使用軟件防火牆外,還使用硬件防火牆。 這些防火牆由擁有自己的網絡部門的組織使用,並包含能夠自行嗅探網絡指令嘗試的重型設備。 通常,它們作為更大的安全生態系統的一部分被專門從事企業級安全解決方案的公司(如思科)出售。
硬件防火牆通常不適用於家庭用戶。 但是替代方案可能已經在您的家中了。 一方面,由於其性質,每個寬帶路由器都充當防火牆。 路由器充當互聯網上計算機的中間人。 從 Internet 發送到您的計算機的連接不會直接發送到它們,而是先發送到路由器。 然後它決定該信息需要去哪裡,如果在任何地方。 如果路由器決定沒有請求信息,或者信息被發送到路由器根本沒有打開的端口,它就會被丟棄。
這就是為什麼您有時必須在路由器中設置端口轉發才能使某些遊戲正常運行的原因。 路由器忽略了來自遊戲服務器的數據包。 然而,這不是真正的防火牆,因為沒有對數據包進行檢查。 相反,它只是路由器運行方式的副作用。
如果您想要真正的硬件防火牆,可以以實惠的價格購買。 思科和 Netgear 生產小型企業路由器,它們是具有內置防火牆功能的小型設備,旨在將少量計算機連接到互聯網。 這樣的設備通常使用包過濾或電路網關的方法,因此它不容易被網絡PC上的惡意軟件繞過。
此外,如果您運行服務器,基本硬件防火牆也很有用,因為它可以監控拒絕服務攻擊和入侵嘗試。 不要指望 199 美元的防火牆會阻止 Anonymous,但如果 SuCkAz555 在您禁止他進入您的 Minecraft 服務器後感到疼痛,它可能會派上用場。
雲端防火牆
最近添加到消費者可用的防火牆類型是基於雲的防火牆。 與軟件防火牆一樣,基於雲的防火牆消除了對硬件設備的需求。 它們還具有高度自適應性且易於配置。 雲防火牆運行防火牆即服務功能,允許您將防火牆安全性全部或部分遷移到雲端。
使用防火牆保護您的計算機
軟件防火牆仍然是保護您的家用計算機的重要組成部分。 如果您只想使用它,Windows 自 XP 以來就有內置防火牆,並且所有主要操作系統都帶有某種形式的集成防火牆。 您可以使用許多其他防火牆選項來提高安全性,但大多數時候,對於大多數用戶來說,集成防火牆可以正常工作。
如果您在路由器後面並且有軟件防火牆,那麼您將受到相當好的保護。 如果您下載了繞過您的系統(包括您的防火牆)的惡意軟件,您將受到威脅的主要方式是。